企业数据分类分级操作指南.pdf

无锡市企业数据分类分级

操作指南

无锡市互联网信息办公室

无锡市工业和信息化局

无锡市数据局

����年��月

目录

一、范围定义1

二、基本原则1

三、建立工作组织2

四、分类分级流程2

五、具体工作步骤4

（一）数据资产梳理4

（二）明确方法策略4

（三）开展数据分类5

（四）开展数据分级6

（五）导出数据清单8

（六）动态更新管理9

（七）防护策略实施9

六、典型成效分析9

（一）数据合规处理9

（二）应对勒索病毒10

（三）应对数据泄露11

附件1：法律法规12

附件2：技术标准或指南15

附件3：典型案例18

（一）金融数据18

（二）医疗健康数据23

（三）智能网联汽车数据26

（四）互联网企业数据31

（五）工业企业数据34

附件4：关联工作38

无锡市企业数据分类分级操作指南

为深入贯彻落实《中华人民共和国数据安全法》《中华人民

共和国个人信息保护法》《中华人民共和国网络安全法》要求，

推动相关企业建立数据分类分级保护制度，指导企业依法依规开

展数据分类分级工作，加速企业数据安全防护策略制定和防护水

平提升，市网信办、市工信局和市数据局共同制定本指南，具体

内容如下。

一、范围定义

本指南所述企业数据是指企业在生产经营和管理活动中采

集、产生的相关信息。

本指南可用于企业参考开展数据分类分级实施，以及围绕数

据分类分级进行数据安全治理。

二、基本原则

企业数据分类分级按照数据分类管理、分级保护的思路，依

据以下原则进行划分：

合法合规原则：数据分类分级应遵循有关法律法规及部门规

定要求，优先对国家或行业有专门管理要求的数据进行识别和管

理，满足相应的数据安全管理要求。

从高就严原则：数据分级时采用就高不就低的原则进行定级

例如数据集包含多个级别的数据项，按照数据项的最高级别对数

据集进行定级。

-1-

动态调整原则：数据的类别级别可能因时间变化、政策变化、

安全事件发生、企业发展规模变化或相关行业规则不同而发生改

变，因此需要对数据分类分级进行定期审核并及时调整。

分级明确原则：数据分级的目的是保护数据安全，数据分级

的各级别应界限明确，不同级别的数据应采取不同的保护措施。

三、建立工作组织

数据分类分级工作是一项与业务紧密结合、复杂且长期性的

工作，对于数据安全管理、创新价值利用、数据资产入表等工作

有着重要意义，需要业务部门、技术部门、法务部门等协同开展

相关工作。在开展数据分类分级工作前，应建立数据分类分级工

作组织架构，划分各部门职责分工，加强企业领导层对于数据分

类分级的支持以及资源协同，为数据分类分级工作有序、高质量

开展提供支撑。企业应明确数据安全负责人和数据安全管理部门，

数据安全负责人应当具备数据安全专业知识和相关管理工作经

历，由企业管理层成员担任，有权直接向有关主管部门报告网络

数据安全情况。

在实际工作中，一般由数据安全或数据管理部门牵头或统筹

数据分类分级工作的开展。

四、分类分级流程

企业进行数据分类分级时，可参考以下流程开展相关工作。

-2-